Miał być cyfrową tarczą państwa.
Jest systemem, do którego – jak pokazują liczby – wielu nawet się nie loguje.
Projekt S46 powstał jako kluczowe narzędzie w ramach ustawy o Krajowym Systemie Cyberbezpieczeństwa. Dziś jednak po kontroli Najwyższa Izba Kontroli trudno mówić o sukcesie. Ponad 74 mln zł już wydano. A realny wpływ na poziom bezpieczeństwa cyfrowego państwa? Ograniczony.
I to bardzo.
Miał łączyć, ostrzegać, reagować. Czy działa?
System S46 zaprojektowano jako centralną platformę obsługi incydentów cyberbezpieczeństwa – dla operatorów energetycznych, banków, szpitali, administracji, CSIRT-ów i ministerstw. Jedno miejsce. Jeden obraz sytuacji. Jedna logika reagowania.
Brzmi rozsądnie.
Problem w tym, że w praktyce system stał się – jak wskazuje NIK – głównie repozytorium informacji. W II kwartale 2025 r. 34% podmiotów w ogóle się nie zalogowało. W niektórych miesiącach połowa użytkowników nie wykazywała żadnej aktywności.
Jeśli narzędzie bezpieczeństwa nie jest używane, to przestaje być narzędziem. Staje się kosztem.
Błędy u źródeł. Presja czasu zamiast realnych potrzeb?
Izba wskazuje na fundamentalny problem: system projektowano bez rzetelnego rozpoznania potrzeb użytkowników. Oparto go na wcześniejszych projektach badawczo-rozwojowych, przyjęto skomplikowaną architekturę, a funkcje – choć ambitne – nie działały zgodnie z założeniami.
Unikalne mechanizmy analizy ryzyka?
Nie funkcjonowały tak, jak powinny.
Dane o zagrożeniach?
Dostępne również w innych źródłach.
W efekcie S46 nie dawał wartości dodanej proporcjonalnej do skali inwestycji.
74 miliony dziś. 500 milionów jutro?
Dotąd wydano ponad 74 mln zł.
Dokumenty dotyczące nowelizacji ustawy KSC wskazują, że w perspektywie dekady łączny koszt może przekroczyć 500 mln zł.
Pół miliarda.
W kraju, w którym wciąż brakuje środków na cyfryzację szkół, realne wsparcie samorządów czy modernizację infrastruktury krytycznej.
Ryzyko iluzji bezpieczeństwa
Najbardziej niepokojący wniosek kontroli dotyczy metodologii szacowania ryzyka krajowego. Dane w systemie pochodziły z ankiet, które nie były weryfikowane ani aktualizowane. Część informacji była niekompletna, część – niezweryfikowana.
Na ich podstawie tworzono analizy strategiczne.
To oznacza jedno: państwo mogło budować obraz cyberzagrożeń na danych o nieznanej jakości. A to rodzi ryzyko podejmowania decyzji w oparciu o fałszywe poczucie bezpieczeństwa.
W cyberprzestrzeni złudzenia bywają drogie.
Odpowiedzialność polityczna. I co dalej?
Projekt wdrażano w czasie rządów Prawa i Sprawiedliwości. Dziś konsekwencje finansowe i systemowe są faktem. Odpowiedzialność formalna? Rozmyta. Odpowiedzialność polityczna? Teoretycznie istnieje.
Tyle że społeczeństwo rzadko rozlicza projekty IT. Zwłaszcza jeśli ich porażki nie są spektakularne, lecz techniczne i rozproszone.
Paradoks polega na tym, że w świecie, w którym mówi się o kryptografii postkwantowej i infrastrukturze odpornej na ataki przyszłości, podstawowe mechanizmy projektowania systemów publicznych wciąż potykają się o brak konsultacji i presję czasu.
NASK i Ministerstwo Cyfryzacji rozpoczęły działania naprawcze. To krok we właściwym kierunku. Pytanie jednak, czy wystarczy, by odbudować zaufanie uczestników systemu.
Bo cyberbezpieczeństwo to nie prezentacja w PowerPoincie.
To codzienna praktyka.
A praktyka – jak pokazuje raport – zawiodła.
Czy wyciągniemy wnioski?
System S46 miał być cyfrową infrastrukturą odporności państwa. Stał się przykładem, jak łatwo ambitne założenia mogą rozminąć się z rzeczywistością.
Czy kolejne projekty IT w administracji będą projektowane z realnym udziałem użytkowników?
Czy pół miliarda złotych zostanie wydane mądrzej niż pierwsze 74 miliony?
I najważniejsze: czy potrafimy odróżnić PR od realnego bezpieczeństwa?
Bo w cyberprzestrzeni oklaski nie chronią przed atakiem.
📲 Znajdziesz nas także w Google News – kliknij i obserwuj Radio DTR, aby otrzymywać nasze najnowsze informacje prosto w aplikacji!
